Le chiffrement des données est un élément fondamental de la cybersécurité qui garantit l'impossibilité de lire, voler ou altérer les données, qu'elles soient au repos ou en transit. Avec le nombre croissant de fichiers hébergés en ligne, le chiffrement des données joue un rôle de plus en plus crucial dans le domaine de la cybersécurité.Cela concerne en particulier les secteurs amenés à traiter des données sensibles, notamment la finance, la santé et les autorités gouvernementales.
Dans cet article, nous allons vous présenter le chiffrement des données, en quoi cela consiste, ses avantages et les différents types de chiffrement des données utilisés de nos jours.
Qu'est-ce que le chiffrement des données ?
Le chiffrement des données convertit un texte brut en format codé afin de protéger les données contre tout accès non autorisé. En d'autres termes, il emploie des algorithmes cryptographiques pour encoder un format lisible en texte incompréhensible. Ainsi, les parties qui ne disposent pas de la clé de chiffrement correspondante ne seront pas en mesure de l'exploiter. Pour les parties extérieures, le texte encodé (texte chiffré) apparaît comme aléatoire et s'avère difficile à décoder via une attaque par force brute.
Quels sont les avantages du chiffrement des données ?
Le chiffrement des données est essentiel pour préserver la vie privée, protéger la confidentialité des données et pour la conformité aux réglementations. Tout d'abord, le chiffrement des données préserve les informations sensibles des parties non autorisées. Le texte chiffré est illisible sans clés de déchiffrement. Ainsi, même en cas de vol par compromission de données ou suite à une fuite accidentelle, il resterait inutilisable par les cyberattaquants. De ce fait, le chiffrement des données aide à atténuer le risque de perte et de vol de données.
Ensuite, le chiffrement des données protège la vie privée. Par exemple, les réseaux privés virtuels (VPN) reposent sur le chiffrement pour protéger l'activité des utilisateurs en ligne de manière à empêcher les fournisseurs d'accès Internet de déchiffrer ou de suivre cette activité utilisateur. Dans d'autres secteurs tels que la santé, les données chiffrées préservent les informations liées à la vie privée.
Enfin, le chiffrement des données aide les entreprises à traiter les données sensibles conformément aux dispositions réglementaires applicables à leur secteur. Par exemple, aux États-Unis, les entreprises qui traitent des informations en ligne sont assujetties aux audits SOC 2 (contrôles des systèmes et organisations). Rester en conformité avec le SOC 2 implique le chiffrement des données sensibles.
Ceci dit, même si ces mesures de conformité n'étaient pas obligatoires, les entreprises auraient tout de même intérêt à pratiquer le chiffrement. Les entreprises qui veulent renforcer la confiance des clients doivent prendre au sérieux la protection des données, d'où le rôle central de normes de chiffrement robustes.
Chiffrement symétrique et asymétrique des données
Il existe deux principaux types de chiffrement, symétrique et asymétrique. La différence essentielle entre les deux réside dans le fait que la clé utilisée pour le chiffrement soit ou non la même que pour le déchiffrement.
Le chiffrement symétrique utilise la même clé pour le chiffrement comme pour le déchiffrement. En général, le chiffrement symétrique est plus rapide. Cependant, le principal inconvénient de cette méthode est le fait qu'un cyberattaquant malintentionné qui détiendrait la clé de chiffrement serait en mesure de décrypter tous les messages chiffrés. En outre, le chiffrement symétrique n'intègre pas d'authentification ni de contrôles d'intégrité, en ce sens qu'il ne vérifie pas l'émetteur du message chiffré ni ses altérations potentielles.
En matière d'algorithmes de chiffrement symétrique, citons par exemple l'Advanced Encryption Standard (AES, norme de chiffrement avancé) et la Data Encryption Standard (DES, norme de chiffrement des données).
En revanche, le chiffrement asymétrique repose sur deux clés différentes (une clé publique et une clé privée) pour protéger les données. La clé publique sert à chiffrer les données, et la clé privée correspondante sert à les déchiffrer.
Étant donné que le chiffrement asymétrique utilise plusieurs clés reliées entre elles par des procédures mathématiques complexes, il est plus lent que le chiffrement symétrique. Toutefois, comme les clés publiques servent uniquement au chiffrement, elles peuvent faire l'objet de partages sans aucun risque. Tant que le détenteur de la clé privée la protège correctement, il sera la seule personne en mesure de décrypter les messages.
De plus, le chiffrement asymétrique facilite la vérification de l'identité de l'émetteur et de l'intégrité du message à l'aide de signatures numériques. Ces signatures numériques font en sorte que l'émetteur crée un hash unique du message avant de le signer avec sa clé privée. Le destinataire vérifie la signature à l'aide de la clé publique de l'émetteur, ce qui garantit l'identité de ce dernier et confirme l'intégrité du message.
Parmi les exemples d'algorithmes de chiffrement asymétrique, citons notamment la cryptographie Rivest-Shamir-Adleman (RSA) et la cryptographie sur les courbes elliptiques (ECC). Si les concepts de chiffrement symétrique et asymétrique concernent la manière de chiffrer les données, il importe également de se demander à quel moment il convient de chiffrer ces données. À ce sujet, vous rencontrerez souvent les termes « chiffrement en transit » et « chiffrement au repos ».
Chiffrer des données en transit et au repos
La protection des données en transit (lors de leur transfert) est aussi importante que leur protection au repos (lorsqu'elles sont stockées).
Le chiffrement en transit protège les données pendant leur déplacement entre deux systèmes. L'exemple typique est une interaction entre un navigateur Web et un serveur Web. À mesure que les requêtes du navigateur atteignent le serveur, des protocoles tels que Transport Layer Security (TLS, sécurité des couches de transport) sont activés pour chiffrer les données. TLS est un protocole complexe qui offre des mesures de sécurité supplémentaires en plus du chiffrement :
- Authentification des serveurs et des clients via des clés publiques/privées ainsi que l'échange de certificats numériques.
- Chiffrement via une combinaison d'algorithmes de chiffrement symétriques et asymétriques.
- Vérification de l'intégrité des données par le calcul d'un condensé de message.
Les sites Internet sécurisés par HTTPS utilisent le protocole TLS, ce qui garantit un échange de données sécurisé entre le navigateur et le serveur, illustrant ainsi le concept de chiffrement en transit.
Le chiffrement au repos protège les données lorsqu'elles sont stockées. Par exemple, un fournisseur de services de santé ou financiers peut avoir recours à des bases de données pour stocker les dossiers médicaux ou des données de cartes de crédit. Cependant, à l'ère numérique actuelle, les données sont stockées dans une série d'emplacements qui dépassent les simples bases de données et les terminaux d'utilisateur final. Parmi ces emplacements, citons les services de stockage cloud, les disques de sauvegarde, le stockage hors-site et bien plus encore.
Parce qu'elles ne suivent pas de modèle de données prédéfini et qu'elles ne se trouvent pas dans des bases de données, les données non structurées présentent un défi supplémentaire. Ces données non structurées comprennent notamment des e-mails, des documents texte, des images et des vidéos. Ce type de données est généralement stocké dans le cloud ou dans divers emplacements réseau et renferme souvent une part significative des actifs de grande valeur d'une entreprise. Si des individus non autorisés accèdent à ce type de données sensibles, une entreprise risquerait de subir d'importants dégâts ou de lourdes pertes. De ce fait, il est indispensable de protéger les données non structurées.
Les entreprises peuvent adopter plusieurs techniques différentes pour protéger les données au repos :
- Le chiffrement de niveau fichier, qui chiffre les fichiers individuels ;
- Le chiffrement de niveau stockage, qui chiffre des dispositifs de stockage entiers ;
- Le chiffrement des bases de données, qui sert généralement à chiffrer des données structurées ;
- La tokenisation des données, qui remplace les données sensibles par des jetons opaques ;
- Le chiffrement du stockage cloud, que proposent généralement les fournisseurs de services cloud pour chiffrer les données par fichier ou par compartiment de stockage.
Normes de chiffrement des données
Il existe de nombreuses normes de chiffrement des données, et de nouveaux algorithmes sont constamment développés pour contrer des attaques toujours plus sophistiquées. À mesure que la puissance de calcul augmente, la probabilité de réussite des attaques par force brute représente une cybermenace sérieuse pour les normes moins sécurisées. Par conséquent, il est important de recourir à des normes plus récentes, donc plus sécurisées, pour vos logiciels.
La norme Data Encryption Standard (DES, norme de chiffrement des données)
DES est un algorithme de chiffrement symétrique développé par IBM au début des années 1970. Il fut adopté par l'Institut national des normes et de la technologie (NIST, National Institute of Standards and Technology) en tant que norme fédérale de 1977 à 2005. Elle utilise une clé 56 bits pour chiffrer un bloc de texte brut 64 bits à l'aide d'une série d'opérations complexes. Toutefois, la taille relativement réduite de ses clés la rend vulnérable aux attaques par force brute, de sorte qu'elle n'est plus considérée comme fiable.
Le triple algorithme de chiffrement des données (3DES, Triple Data Encryption Algorithm)
3DES (ou Triple DES) est une variante du protocole DES selon laquelle l'algorithme de chiffrement DES s'applique trois fois. Bien qu'il améliore la sécurité de la norme DES, un rapport de failles et vulnérabilités communes (CVE) de 2016 a révélé une vulnérabilité de sécurité majeure au sein de 3DES. Celle-ci permettrait à un cyberattaquant de type man-in-the-middle d'accéder à certaines données sous forme de texte brut. De ce fait, 3DES est devenue obsolète en faveur de la norme AES.
Advanced Encryption Standard (AES, norme de chiffrement avancé)
Également connue sous le nom de chiffrement par blocs de Rijndael, d'après les cryptographes belges Joan Daemen et Vincent Rijmen, la norme AES utilise une clé plus grande et des blocs de 128 ou 256 bits (AES-128 et AES-256, respectivement). AES fonctionne sur la base d'un réseau de substitution-permutation pour un chiffrement symétrique des données.
Rivest–Shamir–Adleman (RSA)
Présenté publiquement pour la première fois en 1977, RSA est l'un des plus anciens algorithmes asymétriques. Le système RSA crée une clé privée reposant sur deux grands nombres premiers. Il s'agit ensuite de dériver une clé publique à l'aide d'une valeur auxiliaire avec ces nombres premiers. RSA est un algorithme lent, il sert donc fréquemment à chiffrer la clé symétrique partagée utilisée dans un second temps pour des processus de chiffrement plus rapide.
Twofish
Un chiffrement par bloc avec clé symétrique reposant sur des blocs de 128 bits. La taille de la clé peut atteindre 256 bits, mais la variabilité de la taille de la clé offre différents niveaux de sécurité selon les exigences de l'application concernée. Twofish est considéré comme plutôt fiable, et sa conception open source le rend accessible au domaine public.
Conclusion
Dans cet article, nous avons passé en revue de nombreux concepts de base au sujet du chiffrement des données, vaste thématique s'il en est. Nous avons expliqué en quoi consiste le chiffrement des données ainsi que ses avantages pour les applications commerciales. De plus, nous avons abordé des détails spécifiques autour des chiffrements symétrique et asymétrique, les concepts de chiffrement en transit et au repos ainsi que plusieurs des normes de chiffrement les plus connues à ce jour.